米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「CISA Adds One Known Exploited Vulnerability to Catalog|CISA」において、GitLabの脆弱性「CVE-2023-7028」が積極的に悪用されているとして「既知の脆弱性カタログ(KEV: Known Exploited Vulnerability catalog)」に追加したと発表した。
脆弱性「CVE-2023-7028」の概要
GitLabの脆弱性「CVE-2023-7028」は、ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性がある脆弱性とされる。この脆弱性を悪用されると、ユーザーの関与を必要とせずに攻撃者にアカウントを乗っ取られる可能性がある。
脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
- GitLab CE/EEバージョン16.1から16.1.5
- GitLab CE/EEバージョン16.2から16.2.8
- GitLab CE/EEバージョン16.3から16.3.6
- GitLab CE/EEバージョン16.4から16.4.4
- GitLab CE/EEバージョン16.5から16.5.5
- GitLab CE/EEバージョン16.6から16.6.3
- GitLab CE/EEバージョン16.7から16.7.1
脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
- GitLab CE/EEバージョン16.5.6
- GitLab CE/EEバージョン16.6.4
- GitLab CE/EEバージョン16.7.2
対策
この脆弱性はこれまで積極的な悪用は確認されていなかった(参考:「GitLabサーバーの脆弱性、日本も149台に影響 - アップデートを | TECH+(テックプラス)」)。しかしながら、今回積極的な悪用が確認されたため、ユーザーには速やかなアップデートが推奨されている。
なお、GitLabは一度に最新版にアップデートすることはできない。「Upgrade paths」にて公開されている情報から中継する必要のあるバージョンを確認し、バージョンごとのアップデート手順「Version-specific upgrading instructions」に従ってアップデートを実施する必要がある。
また、今回指摘された脆弱性(CVE-2023-7028)によるアカウント乗っ取りは、二要素認証(2FA: Two-Factor Authentication)を有効にすることで侵害を回避できる可能性がある。攻撃からアカウントを保護するために、この追加の対策を実施することが望まれている。